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Kleine Anfrage 

der Abgeordneten Jan Körte, Nicole Gohlke, Ulla Jelpke, Jens Petermann, 
Dr. Petra Sitte, Frank Tempel und der Fraktion DIE LINKE. 


Umgang von Versicherungskonzernen mit sensiblen Kundendaten 


ln seinem 23. Tätigkeitsbericht zum Datenschutz für die Jahre 2009 und 2010 
stellte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit 
(BfDl) einmal mehr fest, dass „die Verbesserung des Datenschutzes bei Versi- 
cherungsunternehmen [...] nur langsam voran“ kommt. Bereits mehrfach 
musste der BfDl massive datenschutzrechtliche Bedenken unter anderem gegen 
das Hinweis- und Informationssystem (HIS) der Versicherungswirtschaft, das 
der Risikoprüfung und Aufdeckung bzw. Verhinderung von Versicherungs- 
betrug dient, thematisieren (vgl. hierzu 22. Tätigkeitsbericht Nummer 4.4.7 und 
23. Tätigkeitsbericht Nummer 10.7). Der HlS-Neukonzeption, deren Beratun- 
gen zwischen den dem Gesamtverband der Deutschen Versicherungswirtschaft 
(GDV) und den Datenschutzaufsichtsbehörden bei Redaktionsschluss des 
23 . Tätigkeitsberichtes noch nicht abgeschlossen waren, hätten die Datenschutz- 
aufsichtsbehörden nach Darstellung des BfDl nicht zustimmen können und 
Nachbesserungen gefordert sowie wesentliche datenschutzrechtliche Anforde- 
rungen formuliert (vgl. 23. Tätigkeitsbericht, S. 117). 

Medienberichten zufolge erhielt die Redaktion von „SPIEGEL ONLINE“ Mitte 
August 2012 ein anonymes Schreiben, das unter anderem polizeiliche und 
staatsanwaltschaftliche Ermittlungsakten, Papiere der Dresdner Bank über ver- 
schiedenste Konten und deren Verfügungsberechtigte oder auch Asylbeschei- 
nigungen beinhaltete — alle Schriftstücke enthielten sowohl die Klamamen von 
Beteiligten als auch jene von unbeteiligten Personen. Wie sich herausstellte, 
stammten die Unterlagen aus dem Datensystem des Allianz Versicherungskon- 
zems, der diese an einen externen Ermittler weiterreichte, um Fälle von Ver- 
sicherangsbetmg aufzudecken. Laut dem Konzern wurde die Zusammenarbeit 
mit der Detektei bereits 2011 aufgekündigt. Ob diese die ihr zugesandten sensiblen 
Datensätze daraufhin ordnungsgemäß vernichtete, wurde offenbar nicht kontrol- 
liert. 

Dass Versichemngen Unmengen von Daten sensibelster Art besitzen und spei- 
chern, ist nichts Neues. Jedoch stellt sich nun die Frage, ob sie in der Lage sind, 
den sachgemäßen Umgang mit den Daten zu gewährleisten. Der aktuelle Vorfall 
ist dabei nur einer von vielen. So waren bereits in den Jahren 2009 und 2010 
rund 39 000 Datensätze von Kundinnen und Kunden des Finanzvertriebes AWD 
an den Norddeutschen Rundfunk gelangt. 

Dass Versichemngen in begründeten Betmgsfällen Privatermittler beauftragen, 
sei völlig in Ordnung, sagte Thomas Kranig, Präsident des Bayerischen Landes- 
amtes für Datenschutzaufsicht. Laut Dr. Thilo Weichert, Datenschutzbeauftragter 
des Landes Schleswig-Holstein, dürfen Daten jedoch nur im Einzelfall weiter- 
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geben werden, etwa im Verdachtsfall von Versicherungsbetrug. Laut der Allianz 
kommt dies bei 1 000 von rund 3,3 Millionen Schadensfällen im Jahr vor. 

Im Falle einer Datenweitergabe an Externe gelangen die Privatermittler jedoch 
in den Besitz von hochsensiblen und umfangreichen Informationen. Die Detek- 
teien erhalten beispielsweise alle den Fall betreffenden Ermittlungsakten von 
der Polizei und vom Staatsanwalt. Auch die Zeugenaussagen, die dabei getätigt 
wurden, werden den Ermittlern zur Verfügung gestellt. So haben sie nicht nur 
Einsicht in die Privatsphäre des Versicherungsnehmers, sondern auch in die von 
völlig Unbeteiligten. Was schließlich passiert, wenn die externen Ermittler nicht 
ordnungsgemäß mit den Daten umgehen und ihre Auftraggeber offenbar versäu- 
men, dies zu gewährleisten, zeigt der Fall des Datenlecks bei der Allianz. Nun 
stellt sich die Frage, inwieweit der Gesetzgeber hier aktiv werden kaim und 
muss. 

Wir fragen die Bundesregierung: 

1. Wurde die im 23. Tätigkeitsbericht des BfDl erwähnte Neufassung der Ein- 
willigungs- und Schweigepflichtentbindungserklämng beschlossen und um- 
gesetzt? 

Wenn ja, wann, und mit welchem Inhalt geschah dies? 

Weim nein, warum nicht, und warm rechnet die Bundesregierang mit einem 
Zustandekommen? 

2. Wurden nach Kenntnis der Bundesregierung die Verhandlungen zwischen 
dem GDV und den Datenschutzaufsichtsbehörden über das neue FIIS mittler- 
weile abgeschlossen? 

Wenn ja, wann war das? 

Weim nein, warum nicht? 

3. Wurden die datenschutzrechtlichen Bedingungen der Datenschutzaufsichts- 
behörden im neuen FIIS berücksichtigt? 

a) Wenn ja, in welcher Form? 

- Wurde das neue HIS als Auskunftei auf der Grundlage von § 29 des 
Bundesdatenschutzgesetzes (BDSG) ausgestaltet? 

— Wurde sichergestellt, dass Einmeldungen in die Auskunftei nur bei 
Vorliegen einer Rechtsvorschrift und nicht auf der Grundlage von Ein- 
willigungserklärangen erfolgen dürfen? 

- Wurde im HIS geregelt, dass die gespeicherten Daten nur bei Vorliegen 
eines berechtigten Interesses abgefragt werden dürfen? 

— Wurde im HIS geregelt, wie größtmögliche Transparenz für die Ver- 
sicherungsnehmer und sonstige Betroffene hergestellt wird, und wenn 
ja, in welcher Form? 

- Sieht die Neufassung des HIS vor, dass die Einmeldekriterien ständig 
zu evaluieren sind? 

— Wurde eine Ombudsstelle eingerichtet, die bei versicherangsrechtlichen 
Zweifelsfragen eingeschaltet werden kaim und diese Fragen klärt? 

- Sind die Versicherer durch die HIS -Neufassung dazu verpflichtet, 
strenge Compliance-Regelungen einzuhalten, und wenn ja, welche sind 
dies? 

b) Wenn nein, warum nicht? 

4. Welche Daten - neben den zur Aufnahme notwendigen — ihrer Versiche- 
rangsnehmerinnen und -nehmer dürfen Versicherangskonzerne auf welcher 
gesetzlichen Grundlage wie speichern? 
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5. Wer hat auf die bei Versicherungskonzernen gespeicherten sensiblen Kun- 
dendaten Zugriff? 

6. Auf welcher gesetzlichen Grundlage und mit welcher Begründung haben 
Versicherungskonzeme Zugriff auf die gesamten zur Versicherungsnehme- 
rin bzw. zum Versicherungsnehmer gehörenden polizeilichen und 
staatsanwaltlichen Akten? 

7. Auf welche Daten welcher Behörden und Institutionen haben Versicherun- 
gen mit welcher Begründung im Falle des Auftritts eines Schadens Zugriff? 

8. Ist der Bundesregierang bekannt, in wie vielen und welchen Fällen Versi- 
cherangskonzerne jährlich Detekteien beauftragen und dabei mit sensiblen 
Kundendaten ausstatten? 

9. Welche Schlussfolgerungen zieht die Bundesregierung aus der Tatsache, 
dass der GDV ein externes Unternehmen mit der Führung des neuen HIS 
beauftragt hat? 

10. Auf welcher gesetzlichen Grundlage ist es den Versicherungen unter wel- 
chen Voraussetzungen erlaubt, Daten ihrer Kundinnen und Kunden an 
externe Dienstleister weiterzugeben? 

11. Welche Voraussetzungen müssen für die Annahme eines konkreten 
Verdachtes eines Versicherungsbetrages und somit für die Erlaubnis einer 
Datenweitergabe an Dritte durch Versicherungskonzeme vorliegen? 

12. Wie beurteilt die Bundesregierung die Tatsache, dass es Versicherungen vor 
dem Flintergrand der Weitergabe höchstsensibler Daten ihrer Kundinnen 
und Kunden gestattet ist, externe Ermittler zu beauftragen? 

13. Flält die Bundesregierung die Praxis der Versicherungskonzeme — vor dem 
Flintergmnd des Allianz- Vorfalles — für gerechtfertigt? 

Wenn ja, mit welcher Begründung? 

Wenn nein, warum nicht? 

14. Gibt es bei der Weitergabe von Daten durch Versichemngskonzerne Rege- 
lungen hinsichtlich Daten, die unter keinen Umständen an Dritte weiterge- 
geben werden dürfen? 

Wenn ja, welche Regelungen sind das, und welche Art von Daten ist davon 
betroffen? 

15. Ist der Bundesregiemng bekannt, ob die Versichemngsnehmerinnen und 
-nehmer im Falle einer Datenweitergabe an Dritte informiert werden 
müssen, informiert werden oder eine Einwilligung erteilen müssen? 

16. Ist der Bundesregiemng bekannt, ob und wie Versichemngskonzerne die 
Arbeit der von ihnen beauftragen externen Dienstleister kontrollieren bzw. 
kontrollieren können? 

17. Welche Regelungen gelten für die durch Versichemngskonzerne beauftrag- 
ten Dritten hinsichtlich Datenverarbeitung, Datenaufbewahrang und Daten- 
vemichtung? 


Berlin, den 22. Oktober 2012 

Dr. Gregor Gysi und Fraktion 
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